IT/미디어/과학기술 분야 법률자문

 

IT/미디어/과학기술
분야 법률자문

 
제목EU GDPR(유럽 일반 개인정보 보호법) 안내서 ① GDPR 주요 용어 2017-12-27 10:13
작성자

 

http://blog.naver.com/it-is-law/221089201241

 

지난 포스팅을 통해, 개인정보 유출사고 시 해당 사업자의 마지막 대응절차인 이용자 피해구제 및 재발방지 대책 마련에 대해 알려드렸었죠.

 

개인정보 유출사고가 연이어 발생함에 따라, 방송통신위원회와 한국인터넷진흥원이 개인정보 유출사고 발생 시 피해를 최소화하기 위해 사업자가 준수해야 할 사항을 담은 개인정보 유출 대응 매뉴얼을 발표한 바, 사업자는 사고 발생 시 개인정보 유출 통지의무나 조치 결과 신고의무 등 매뉴얼에서 정한 절차를 준수하지 않을 경우 과태료 처분을 받게 되는데요.

 

또한 매뉴얼이 있음에도 이에 따라 성실히 대응하지 않았다는 비판을 피할 수 없을 것입니다. 이미 무너진 이용자들의 신뢰를 다시 한 번 무너뜨리는 셈이 되겠죠.

 

 

매뉴얼에서 정한 이용자 피해구제 및 재발방지 대책 마련 절차는 크게 1) 개인정보 유출 사고 전파 2) 이용자 피해구제 및 관련 민원 대응 강화 3) 유출 원인분석 및 재발방지 대책 마련으로 나뉩니다. , 앞선 절차에서 규정한 것처럼 경찰청과 한국인터넷진흥원 등 기관에 대해 신고하고 이용자에게 개인정보 유출 통지를 한다고 해서 모든 절차가 끝나는 게 아니라는 건데요.

 

마지막 절차로, 임직원 및 이해관계가 있는 사업자에게 개인정보 유출 상황을 전파하여 유사 피해가 발생할 수 있음을 전파하고, 전화, 이메일, 홈페이지, SNS 등 이용자와의 다양한 소통창구를 마련하여 손해배상제도 및 2차 피해 방지대책을 안내해야 하며, 내부교육 및 모의훈련 등을 통해 개인정보 유출 대응체계를 점검함으로써 사업자로서의 대응의무를 끝까지 준수해야 합니다.

 

 

http://blog.naver.com/it-is-law/221082146521

 

한편 우리나라의 개인정보보호 법제도에는 앞으로 법 위반 사업자에 대한 강력한 제재조치가 도입될 가능성이 높습니다. 유럽연합이 2018525일부터 일반 개인정보보호규정(GDPR)을 시행함에 따라, 우리나라도 세계적 흐름에 발맞춰 국내에서도 개인정보보호와 빅데이터 활용에 따른 편익을 균형 있게 다룰 법제도를 마련하자는 분위기가 형성되고 있으며, 그 가이드라인으로 GDPR이 제시되고 있기 때문인데요.

 

GDPR의 시행은 유럽시장에 진출하는 국내기업에게 미치는 영향을 고려할 때 단지 유럽만의 제도변화로 치부하기 어려운 문제가 있습니다. 왜냐하면 동 규정은 EU 회원국의 기업에만 적용되는 것이 아니라, 유럽연합 역내(EEA)에 설립된 우리 기업(자회사, 분점 등)이나 국내에서 EU 시민에게 재화와 서비스를 제공하는 기업에게도 적용될 수 있기 때문입니다.

 

한 비교예시로, 우리나라 개인정보보호법은 현재 통지의무 위반에 대해 3천만 원 이하의 과태료를 부과하고 있지만, GDPR은 통지의무 위반에 대해 전 세계 매출액의 2% 또는 최대 1천만 유로 중 더 높은 금액의 과징금을 부과하도록 규정하고 있습니다.

http://www.seoulfn.com/news/articleView.html?idxno=285552

 

또한 4차 산업혁명 시대에서는 인공지능, 사물인터넷, 클라우드컴퓨팅 등의 확산에 따라 데이터의 폭발적 증가와 광범위한 유통 현상이 나타날 것으로 예측되는 바, 앞으로는 국경을 초월해 정보가 보관·처리되는 개인정보의 국외이전문제가 자주 발생할 수 있습니다.

 

GDPR은 개인정보 보호뿐만 아니라 EU 역내 개인정보의 자유로운 이동 보장을 주요 목적으로 하고 있어, 향후 우리나라에도 이를 바탕으로 한 법제도가 도입될 가능성이 높은데요. 따라서 관련 사업자들은 GDPR 시행에 따라 향후 예상되는 제재조치 강화에 미리 대비할 필요성이 있습니다.

 

 

http://www.boannews.com/media/view.asp?idx=54468&kind=2

 

EU에 진출하였거나 진출을 희망하는 우리 기업은 GDPR이 시행되는 2018525일까지의 기간 동안 GDPR이 규정하고 있는 보호조치를 마련하고 의무규정들을 준수하기 위한 대책을 수립해야 합니다. 행정자치부와 한국인터넷진흥원은 지난 5우리 기업을 위한 유럽 일반 개인정보 보호법안내서를 발간하여, GDPR에 대비하는 우리나라 기업들에게 가이드라인을 제시하고 있는데요.

 

GDPR에는 국내 개인정보보호법과 의미가 다소 다르거나 우리 법에는 없는 개념이 일부 정의되어 있으므로, 우선 각 용어의 정확한 의미를 이해하는 것이 중요합니다.

 

1. 주요 용어

 

1) 개인정보(Personal data, 1)

 

개인정보란 식별되었거나 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를 의미합니다. ‘식별가능한 자연인은 직접적 또는 간접적으로 식별될 수 있는 사람을 의미하며, 특히 이름, 식별번호, 위치정보, 온라인 식별자(online identifier) 등의 식별자를 참조하거나, 하나 또는 그 이상의 신체적·생리적·유전적·정신적·경제적·문화적 또는 사회적 정체성에 대한 사항들을 참조하여 식별할 수 있는 사람을 뜻합니다.

 

예컨대, IP주소, MAC Address, 온라인 쿠키(cookie)를 통해 개인 식별이 가능하다면 온라인 식별자(online identifier)에 해당하여 GDPR이 정한 개인정보로 볼 수 있습니다.

 

2) 컨트롤러(Controller, 7)

 

컨트롤러란 개인정보의 처리 목적과 수단을 단독 또는 제3자와 공동으로 결정하는 자연인, 법인, 공공기관, 에이전시, 기타 단체를 의미합니다. 이러한 처리의 목적 및 수단이 EU 또는 회원국 법률에 의해 결정되는 경우, 컨트롤러의 지명 또는 지명을 위한 특정 기준은 EU 또는 회원국 법률에서 규정될 수 있습니다.

 

3) 프로세서(Processor, 8)

 

프로세서란 컨트롤러를 대신하여 개인정보를 처리하는 자연인, 법인, 공공기관, 에이전시, 기타 단체를 의미합니다. 단 컨트롤러의 지시에 따라 개인정보를 처리해야 하므로, 컨트롤러는 반드시 구속력 있는 서면 계약에 의해 프로세서를 지정해야 합니다.

 

여기서 주의할 것은 컨트롤러·프로세서 개념이 우리나라 개인정보 보호법령에서 정하고 있는 위탁자·수탁자 개념과 일견 유사하면서도 차이가 있다는 점입니다. 한 예로, 우리나라 개인정보보호법상 위탁자는 자신의 사무 처리를 위해 통상 직접 수집한 개인정보를 수탁자에게 제공하는데 반해, 컨트롤러는 개인정보 처리의 목적과 수단을 규정하기만 하면 족할 뿐 자신이 개인정보를 직접 수집하여 프로세서에게 제공할 필요는 없습니다.

 

현재 우리나라 개인정보보호법과 정보통신망법은, ‘개인정보 처리위탁관계에서 수탁자가 법을 위반할 시 위탁자의 사용자책임을 간주하는 것과 달리, ‘3자 제공의 경우 사용자 책임 간주 규정이 없습니다. 따라서 제3국 수탁자에 대한 감독권한을 보유한 국내의 개인정보처리 위탁자를 관리함으로써 간접적으로 제3국 수탁자의 법 준수를 유도하는 한편, 국가의 사전 개입을 통해 안전한 국가로 개인정보가 이전되도록 통제할 필요가 있습니다.

 

4) 수령인(Recipient)과 제3(Third party) (9, 10)

 

수령인은 제3자인지 여부와 관계없이, 개인정보를 공개·제공받는 자연인, 법인, 공공기관, 에이전시, 기타단체를 의미합니다. 3자는 정보주체, 컨트롤러, 컨트롤러 또는 프로세서의 직접적인 권한에 따라 개인정보를 처리할 수 있는 자를 제외한 모든 자연인, 법인, 공공기관, 에이전시, 기타단체를 의미합니다.

 

컨트롤러는 정보주체에게 그들의 개인정보가 어떤 수령인에게 공개·제공되었는지 알려야 할 의무를 부담하므로, 수령이 또는 수령인의 유형을 사전에 식별할 필요가 있습니다.

 

5) 프로파일링(Profiling, 4)

 

프로파일링은 자연인의 특정한 개인적 측면을 평가하기 위해, 특히 개인의 업무 수행, 경제적 상황, 건강, 개인 선호, 관심사, 신뢰도, 행동, 위치, 이동에 관한 측면을 분석 또는 예측하기 위해 개인정보를 사용하는, 모든 형태의 자동화된 개인정보 처리를 의미합니다.

 

프로파일링은 자동화된개인정보의 처리를 전제로 하고 있기 때문에, 그 과정에서 인적 개입이 발생하는 경우라면 이는 GDPR에서 정의하는 프로파일링에는 해당하지 않습니다. 또한 인적 개입이 없는 자동화된개인정보의 처리가 발생하는 경우라도 자연인의 개인적 특성을 평가하려는 목적이 존재하지 않는다면 이 역시 프로파일링에 해당하지 않습니다.

 

예컨대, 온라인 서비스에 봇(bot)이 무분별하게 대량으로 로그인하는 것을 방지하기 위해 일정한 질문을 제시하고 답변을 입력받아 이를 분석한 후에 로그인 절차를 진행하는 경우, ‘자동화된개인정보 처리가 발생하는 것은 맞지만 이는 봇(bot)과 사람을 구별하려는 판단 목적만 존재할 뿐 자연인의 개인적 특성을 평가하려는 목적은 없기 때문에 프로파일링에 해당하지 않습니다.

 

6) 가명화(Pseudonymisation, 5)

 

가명화는 개인정보를 수정·가공함으로써 추가적인 정보를 사용하지 않고는 더 이상 원래의 개인정보를 알아볼 수 없는 상태로 만드는 경우를 말합니다. 이때 추가적인 정보는 분리 보관하고, 해당 정보를 통해 자연인을 식별하지 않도록 기술적·조직적 조치를 취하여야 합니다.

 

GDPR은 가명화를 거친 개인정보가 추가적인 정보의 사용에 의해 특정 개인의 속성으로 인정되는 경우, 이를 식별된 자연인에 대한 정보로 간주합니다.

 

7) 정보사회서비스(Information society service, 25)

 

정보사회서비스는 통상 영리를 목적으로 서비스를 제공받는 자의 개별적 요청에 따라 원거리에서(원격으로)’ ‘전자적 수단을 통하여 제공되는 서비스를 의미합니다.

 

정보사회서비스는 전자상거래서비스와 같이 온라인에서 재화와 용역을 사고파는 서비스에 한정되지 않으며, 상업적 목적으로 운영되는 모든 웹사이트가 정보사회서비스에 해당할 수 있습니다.

 

예컨대 신문사나 커뮤니티처럼 온라인 광고를 통해 수익을 창출하는 미디어 사이트, 네이버·다음 등 검색 광고를 통해 영리를 추구하는 검색엔진 등은 모두 정보사회서비스에 해당합니다.

 


 

이어지는 GDPR 관련 포스팅에서는 GDPR의 적용 대상과 범위에 대해 알아보도록 하겠습니다.